Cours Et TD Administration Des Services Réseaux PDF
Cours Et TD Administration Des Services Réseaux PDF
Cours Et TD Administration Des Services Réseaux PDF
I. Service Syslog.
En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur. La
partie cliente émet les informations sur le réseau, via le port UDP 514. Les serveurs
collectent l'information et se chargent de créer les journaux.
Un journal au format syslog comporte dans l'ordre les informations suivantes : la date à
laquelle a été émis le log, le nom de l'équipement ayant généré le log (hostname), une
21
information sur le processus qui a déclenché cette émission, le niveau de priorité du log,
un identifiant du processus ayant généré le log et enfin un corps de message.
Exemple :
Niveau de gravité
Les niveaux de gravité Syslog, appelés Severity level en anglais sont au nombre de huit
représentés par un chiffre de 0 (Emergency) à 7 (Debug) :
Codes de gravité
emerg
0 Emergency Système inutilisable.
(panic)
22
II. Service SNMP : Présentation et Historique du SNMP
23
messages. Le processus de surveillance doit se faire via une MIB qui est une base de
données normalisée et contient des paramètres / objets pour décrire ces dispositifs de
réseau (comme les adresses IP, les interfaces, l'utilisation de l'UC, ...). Par conséquent, le
processus de surveillance devient maintenant le processus de GET et SET l'information
de la MIB.
SNMP a plusieurs versions, mais il existe trois versions principales:
SNMP version 1
SNMP version 2c
SNMP version 3
SNMPv1 est la version originale et est très héritée de sorte qu'il ne devrait pas être
utilisé dans notre réseau. SNMPv2c a mis à jour le protocole d'origine et a offert
quelques améliorations. Une des améliorations remarquables est l'introduction des
messages INFORM et GETBULK.
Les deux SNMPv1 et v2 ne se concentrent pas beaucoup sur la sécurité et ils fournissent
la sécurité basée sur chaîne de la communauté seulement. Communauté chaîne est
vraiment juste un mot de passe texte clair (sans cryptage). Toutes les données envoyées
en texte clair sur un réseau sont vulnérables au reniflement et à l'interception des
paquets. Il existe deux types de chaînes de communauté dans SNMPv2c:
+ Lecture seule (RO): donne un accès en lecture seule aux objets MIB qui est plus sûr et
préféré à d'autres méthodes.
+ Lecture-écriture (RW): permet d'accéder en lecture et en écriture aux objets MIB.
Cette méthode permet au gestionnaire SNMP de modifier la configuration du routeur /
commutateur géré; faites donc attention à ce type.
La chaîne de communauté définie sur le Gestionnaire SNMP doit correspondre à l'une
des chaînes de communauté sur les Agents afin que le Gestionnaire accède aux Agents.
SNMPv3 fournit des améliorations significatives pour résoudre les faiblesses de sécurité
existant dans les versions antérieures. Le concept de chaîne communautaire n'existe pas
dans cette version. SNMPv3 fournit une communication beaucoup plus sécurisée en
utilisant des entités, des utilisateurs et des groupes. Ceci est réalisé en mettant en œuvre
trois nouvelles fonctionnalités majeures:
+ Intégrité du message: s'assurer qu'un paquet n'a pas été modifié en transit.
24
+ Authentification: en utilisant le hachage de mot de passe (basé sur les algorithmes
HMAC-MD5 ou HMAC-SHA) pour s'assurer que le message provient d'une source valide
sur le réseau.
+ Privacy (Cryptage): en utilisant le cryptage (cryptage DES 56-bit, par exemple) pour
chiffrer le contenu d'un paquet.
Remarque: Bien que SNMPv3 offre une meilleure sécurité, mais SNMPv2c est encore
plus courante. Cisco a pris en charge SNMPv3 dans leurs routeurs depuis IOS version
12.0.3T.
Les messages SNMP sont utilisés pour communiquer entre le gestionnaire SNMP et les
agents. SNMPv1 prend en charge cinq messages SNMP de base:
+ SNMP GET
+ SNMP GET-NEXT
+ SNMP GET-RESPONSE
+ SNMP SET
+ SNMP TRAP
En général, les messages GET sont envoyés par le gestionnaire SNMP pour récupérer les
informations des agents SNMP tandis que les messages SET sont utilisés par le
gestionnaire SNMP pour modifier ou affecter la valeur aux agents SNMP.
Le message GET-RESPONSE est utilisé par les agents SNMP pour répondre aux messages
GET et GET-NEXT.
Contrairement aux messages GET ou SET, les messages TRAP sont lancés à partir des
agents SNMP pour informer le gestionnaire SNMP de la survenance d'un événement. Par
exemple, supposons que vous souhaitez être alarmé lorsque l'utilisation du processeur
de votre serveur dépasse 80%. Mais il serait très ennuyeux si l'administrateur doit
utiliser activement le message GET pour vérifier l'utilisation du CPU de temps en temps.
Dans ce cas, le message TRAP est très approprié à cet effet car l'administrateur ne serait
25
informé que de la CPU elle-même lorsque cet événement se produit. La figure ci-dessous
montre la direction des messages SNMP:
Depuis SNMPv2c, deux nouveaux messages ont été ajoutés: INFORM et GETBULK.
INFORM: Un désavantage du message TRAP n'est pas fiable. SNMP communique via
UDP de sorte qu'il n'est pas fiable parce que lorsque les agents SNMP envoie TRAP
message au gestionnaire SNMP, il ne peut pas savoir si ses messages arrivent à SNMP
Manager. Pour modifier ce problème, un nouveau type de message, appelé INFORM,
a été introduit à partir de SNMPv2. Avec le message INFORM, le gestionnaire SNMP
peut maintenant reconnaître que le message a été reçu à sa fin avec une unité de
données de protocole de réponse SNMP (PDU). Si l'expéditeur ne reçoit jamais une
réponse, l'INFORM peut être renvoyé. Ainsi, les INFORM sont plus susceptibles
d'atteindre leur destination prévue.
Get : Message envoyé par le superviseur à l’agent pour obtenir des informations.
Set : Message envoyé par le superviseur à l’agent pour reconfigurer les agents
Get Bulk : Message envoyé par l’agent au superviseur pour l’informer d’une
situation.
Remarque: Il n'y a pas de nouveaux types de messages sur SNMPv3 par rapport à
SNMPv2c.
26
II.3. Configuration
Dans la dernière partie, nous allons passer par une configuration SNMP simple de
sorte que vous pouvez avoir un examen plus attentif à la façon SNMP fonctionne.
SNMPv2c est encore plus populaire que SNMPv3 donc nous allons configurer
SNMPv2c.
1. Configurer une chaîne de communauté
Router(config)#snmp-server community 9tut ro
Dans ce cas, notre chaîne de communauté nommée «9tut». Le ro représente la méthode
en lecture seule.
2. Configurer l'adresse IP d'un récepteur d'hôte (SNMP Manager) pour SNMPv2c
TRAP ou INFORM
Si nous ne voulons pas activer tous les messages d'interruption, nous pouvons spécifier
quels pièges nous voulons être avisés. Par exemple, si vous souhaitez uniquement
recevoir des traps sur le type de notification de lien vers le haut / bas, utilisez cette
commande à la place:
Bien sûr, nous devons configurer un gestionnaire SNMP sur un ordinateur avec ces
chaînes de communauté afin qu'elles puissent communiquer.
II.4.1. SNMPv1
Avantages
· L'avantage majeur dans le fait d'utiliser SNMP est qu'il est de conception simple. Il
est donc aisé de l'implémenter sur un réseau, puisqu'il ne nécessite pas une longue
configuration et qu'il est de petite taille.
27
· Un autre atout de SNMP est qu'il est très répandu aujourd'hui. Presque tous les
grands constructeurs de matériel hardware inter-réseaux, tels que les
commutateurs ou les routeurs, implémentent le support SNMP dans leurs produits.
· L'expansion est un autre privilège de SNMP. De par sa simplicité de conception, il
est facile de mettre à jour le protocole pour qu'il réponde aux besoins des futurs
utilisateurs.
· Enfin, SNMP est basé sur le protocole de transport UDP, ce qui nécessite moins de
ressources et de connexions simultanées qu'avec TCP.
Inconvénients
II.4.2. SNMPv2
Domaine d'application
SNMPv2 est conçu pour faciliter la gestion de n'importe quelle ressource, pas
seulement de ressources réseaux. SNMPv2 peut donc être utilisé pour gérer des
applications, des systèmes et communiquer entre gestionnaires.
Grâce à l'ajout des fonctions de communication de gestionnaire, SNMPv2 peut être aussi
utilisé en gestion distribuée.
28
Taille, vitesse et efficacité
Le changement majeur dans cette catégorie est l'ajout de la commande get bulk pour
l'échange de grandes quantités d'informations. La commande get bulk est une requête
de plusieurs get next successifs. Auparavant, on était obligé de faire une succession de
get next pour lire une table, avec SNMPv2 une seule commande et réponse peuvent
maintenant suffire pour cela.
Sécurité et privautés
Déploiement et compatibilité
SNMPv2 a été conçu pour être utilisé sur TCP/IP, OSI et d'autres architectures de
communication. SNMPv2 permet aussi de communiquer avec des plates-formes
supportant le protocole SNMPv1.
L'évolution de SNMPv1 vers SNMPv2 est une étape importante dans l'évolution de
SNMP. Le champ d'application couvert maintenant par SNMP s'est largement étendu.
Toutefois, il faut bien se rappeler que SNMP est un standard d'échange d'informations
de gestion. Ceci n'est qu'une partie du problème de la gestion réseau. En ce qui concerne
l'interface utilisateur, il reste encore beaucoup à faire. Il y a bien sur la présentation des
informations mais aussi leur interprétation.
II.4.3. SNMPv3
29
Sécurité :
· Authentification et chiffrement.
· Autorisation et contrôle d'accès.
Administration :
· Nommage des entités.
· Gestion de la compatibilité.
· Destinations des notifications.
· Configuration à distance.
30
Administration des services réseaux
1.3 On suppose que le serveur DNS interrogé par le navigateur est celui de la zone p22.dz, quels seront
alors les serveurs
DNS qui seront interrogés par le client en supposant qu’à chaque domaine correspond une zone
d’autorité ?
1.4 On suppose que le serveur DNS utilisé par la machine est en panne. Comment l’utilisateur peut-il
tout de même
récupérer le fichier de la question précédente ?
1.5 Soit l’extrait du fichier de zone de univ-sba.edu placé sur la machine dns.univ-sba.dz.
univ-sba.edu. NS dns
dns A 10.1.0.1
www A 10.1.0.2
mail A 10.1.0.3
max.etud A 10.2.0.100
anna.etud A 10.2.0.200
Ce fichier se trouve sur le serveur faisant autorité sur la zone univ-sba.edu qui contient les domaines
univ-sba.edu et etud.univ-sba.edu. Il contient principalement les adresses IP des machines de cette zone.
Chaque ligne de ce fichier contient un enregistrement ayant la forme suivante :
Le nom identifie une machine ou un domaine. Il peut être absolu (terminé par un point) ou relatif (par
rapport au nom de la zone). Plusieurs enregistrements peuvent être associés à un nom. On les différencie
par un type. La valeur de l’enregistrement dépend alors du type. Dans notre exemple il n’y a que deux
types : A pour définir une adresse IP et NS (Name Server) pour définir un serveur DNS d’une zone.
(a) Quels sont les noms complets des machines dans la zone univ-sba.dz dont le serveur connaît
les adresses IP ?
1
Administration des services réseaux
(b) On souhaite que le domaine etud.univ-sba.edu soit délégué à un autre serveur DNS, appelé
dns.etud.univ-sba.edu et d’adresse IP 10.2.0.1. Autrement dit, on souhaite découper la zone univ-
sba.edu et créer une sous-zone etud.univ-sba.edu. Comment doit-on procéder ?
(c) Quel sera alors la réponse du serveur dns.univ-sba.edu si on l’interroge sur la machine
anna.etud.univ-sba.edu ?